30 de agosto de 2009

Protección contra el envío de SPAM (2/2)

conjuntoEntradas() {
  Protección contra el envío de SPAM (1/2)
  Protección contra el envío de SPAM (2/2)
}

Invita a un amigo
Ya hace un tiempo que me pregunto que sentido continua teniendo la utilidad de Gmail de “Invita a un amigo”, porque ahora, no como al principio, cualquiera puede ir a Gmail y solicitar una cuenta de manera gratuita, digo ahora, porque al principio, cuando surgió el servicio no tepodías crear una si no era a través de una invitación que tenía que haber sido enviado desde dicha utilidad. La utilidad en si no es mi duda, es el número limitado de invitaciones, ya que la utilidad es una manera de facilitar que los usuarios hagan publicidad del servicio a sus conocidos y además aprovechar en que medida que usuarios han abandonado su cuenta anterior (de otro proveedor ya que saben además de cual se trata debido que es a la dirección que se les ha enviado la invitación) por una de Gmail en función de la utilidad que les están dando a esta y también mantener una relación entre cuentas de Gmail.

Ahora con la nueva medida la utilidad parece que vuelve a cobrar sentido, ya que si un colega tuyo recibe una invitación podrá crear una cuenta saltando se la engorrosa medida de seguridad de tener que meter su número de móvil, eso si, si te has ganado la reputación. La reputación, no sé como te la ganas, pero si la invitación proviene de una cuenta vinculada a una cuenta que se ha estado utilizando durante bastante tiempo (entiendo que de forma lícita) la nueva medida de seguridad no se aplica, al menos hasta un nivel de jerarquía 2, pongo un ejemplo:

Yo he probado con mi cuenta X de Gmail, con bastante antigüedad con la cual no he hecho cosas malas, invito a un amigo y este se crea una cuenta Y saltándose la medida de seguridad, luego Y ha invitado a otro y ha creado la cuanta Z el cuál también se ha saltado la medida de seguridad.

Desconozco la profundidad de la jerarquía, pero lo que si es cierto es que si la invitación se envía de una cuenta recién creada (en esta has pasado por la medida de seguridad) el invitado tendrá que pasar también por la medida de seguridad.

Después de tantas pruebas ya empezaba a dudar si esto no era así, ya que podrían estar filtrando mi IP, pero la conclusión es que no porque después de probar la invitación desde una cuenta sin reputación, he podido crear otra saltando la medida de seguridad ya que la he enviado desde una cuenta con reputación.

Parece que si que hay un filtrado de cuentas sobre el envío de invitaciones a una misma cuenta, al menos en un breve espacio de tiempo, es decir en cierta medida el envío de invitaciones a una misma cuenta se descartan sin informar al usuario; retomando el ejemplo anterior he podido enviar una de X y Y a una misma cuenta y las he recibido sin problema, pero cuando he intentado enviar otra más pero desde la cuenta sin reputación (la cuenta que he creado pasando por la medida de seguridad) la invitación no ha llegado y he tenido que utilizar otra para poder probar lo ya comentado.

Otras medidas de seguridad
Para finalizar solo me gustaría mencionar otras de las medidas de seguridad que ofrece Gmail:
  1. Utilizar el correo con acceso SSL (Se activa en las opciones de configuración).
  2. Información de los 5 últimos accesos a la cuenta (Se puede encontrar al final de la página central de cualquier vista).
  3. Reportar phishing (Se encuentra dentro al principio de un correo, dentro del menú de opciones de este).


    Menú de opciónes de un correo

Hasta la próxima enfermos

26 de agosto de 2009

Protección contra el envío de SPAM (1/2)

conjuntoEntradas() {
  Protección contra el envío de SPAM (1/2)
  Protección contra el envío de SPAM (2/2)
}

Gmail ha decidido añadir un granito más de arena a la protección de sus usuarios y a la lucha contra el abuso que se le puede dar a su servicio de cuentas de correo electrónico gratuito.

La última medida tomada
La última medida que ha puesto en funcionamiento para proteger el registro de nuevas cuentas y así evitar que se puedan crear de manera indiscriminada para el envío de spam ha sido la de tener que registrar un número de teléfono móvil.

Según indican de esta manera pueden tener controlado el número de cuentas creadas por un mismo número de teléfono, además de poder limitar el número de cuentas que se puedan crear con este mismo número.

La medida se basa en enviar un SMS con un código de invitación que te permite registrar la cuenta que deseabas crear y cuyos datos ya has introducido en el formulario de la página anterior.

Es una medida interesante y la verdad es que les permite controlar la creación de sus cuentas, pero la verdad es que pierde usabilidad y es bastante intrusiva.

Se pierde usabilidad por varias razones:
  1. Es posible que no tengas teléfono móvil. Es algo bastante improbable pero puede pasar; ellos ya lo anticipan y dicen que le puedes pedir a un amigo que te haga el favor de permitir poner su número para poder recibir el código de invitación que te solicitan.
  2. Es posible que el operador de telefonía que utilices te cobre por ese mensaje, por lo que la creación de la cuenta deja de ser totalmente gratuita.
  3. Se puede dar el caso que no lo recibas. Te indican que esperes un plazo es de 24 horas y si no lo recibe lo vuelvas a solicitar. 24 horas para crear una cuenta es bastante tiempo, además hay que añadirle que es posible que lo tengas que volver a solicitar.
  4. Hay países que no funciona. Por lo que depende donde vivas ya no tienes posibilidad de tener una cuenta Gmail.
  5. El formulario de registro lo llenas antes, y luego te encuentras con esto, por lo que si no te gusta que Google tenga tú móvil, has perdido un valioso tiempo llenando el formulario de registro. No estaría de más aviarlo antes de empezar a llenar el formulario de registro.
Es intrusiva porque te están solicitando un número de móvil, algo que te limita si quieres mantener el anonimato, o aunque no lo quieras mantener, es posible que no quieras que Google tenga que tener tu número de móvil solo por el simple hecho de tener una cuanta de correo con ellos. Goolge, como es lo que se espera, indica que solo utilizará el número para limitar el número de cuentas creadas con ese número y par más información te invita a que te leas la política de privacidad de Gmail.
Hasta la próxima enfermos

24 de agosto de 2009

SQL, saltando los cortafuegos

El otro día (el miércoles 18 de agosto del 2009) , durante los 20 minutos que dedico cada día en el office del trabajo a la comida del "medio día" y con el objetivo de aprovecharlos más de lo normal, mientras comía decidí hojear "El País", aprovechando que la empresa es subscriptor de este periódico.

Normalmente no me suelen interesar mucho las noticias que aparecen en los periódicos, pero pasando páginas, una tras otra, encontré un titular más o menos interesante en la sección de economía; el titular era: El robo del siglo en el ciberespacio y el subtitular: Un hombre de 28 años accedió a los datos de 130 millones de tarjetas en EE UU .

Hasta aquí nada que a alguien que sigue en cierta manera los aspectos relacionados con la seguridad informática le sorprenda, ya que la noticia iba de un tío que había robado no se cuantos números de tarjetas de crédito accediendo a ellas a través de las Webs de unos supermercados concretos.

Lo interesante de la noticia, después de terminar el párrafo 4º con la frase "La técnica utilizada para colarse en la red de las cadenas comerciales se conoce como Structured Query Language Injection Attacks" continua en el párrafo 5º "Se trata de un sofisticado lenguaje de programación que utilizan los hackers para saltar los cortafuegos que protegen las bases de datos conectadas a Internet"

En ese momento es cuando casi acabo en el hospital por atragantarme con un hueso de pollo debido a la risa que me entró en leerlo; ahora va a resultar que quien sepa SQL va a poder saltarse los cortafuegos.

Me gusta la capacidad alarmista que tienen algunos periodistas por aspectos que con un gran alcance de movilización, provocando que la gente que no tiene mucho conocimiento sobre el tema acabe imaginándose cosas o tomando medidas desmesuradas.

En esta noticia todos los que nos movemos por este mundo claramente vemos que el que escribe esto lo puede hacer por dos motivos, uno crear una noticia sensacionalista o crear una noticia sin ni siquiera documentarse lo suficiente.

Lo mejor de todo es que si un días resulta que te viene un posible cliente que quiere potenciar su pequeño comercio creando un pequeña página Web que le permita entrar en el mundo del e-commerce y te pide un presupuesto; tú con toda tu buena fe a parte de explicar como vas ha hacer las cosas te adentras un poco en ciertos detalles técnicos y en algún momento le dices ".... SQL ...."; el pobre cliente que sin no tener más ni idea de lo que es el SQL, que la lectura de esta noticia u otras tantas de esta índole que se habrán publicado, acaba llamando te de todo menos ... bueno lo que a todos nos gusta que nos llamen.

En fin en este campo no me colan en gol, pero me paro a pensar, en todas las otras temáticas que me lo pueden colar y ya se me quitan las ganas de leer para no acabar con ideas que no corresponden con la realidad.

La noticia la podéis ver aquí

Hasta la próxima enfermos